P
есть какой нибудь актуальный и достойный аналог sqlmap?
Size: a a a
2020 May 15
MM
есть какой нибудь актуальный и достойный аналог sqlmap?
А чего по функционалу не достаточно/ чего хочется другого
VP
есть какой нибудь актуальный и достойный аналог sqlmap?
руки+знание SQL
R
есть какой нибудь актуальный и достойный аналог sqlmap?
смотря для чего. Со сложными скулями не он и ни другой не справится )
R
Тут уже, как сказал Владимир, руки+знания )
A
во времена моей молодости никаких sqlmap не было и все сами крутили по статьям всяким
MM
Мне вот вообще от скульмап подобных тулов интересно только, чтобы они бегло параметры фаззили и показывали, что триггернуло sleep()
MM
А то начать скан скульмапом в большом количестве случаев = обвалить приклад
VP
смотря для чего. Со сложными скулями не он и ни другой не справится )
или чувствительный ваф, когда даже tamper не поможет
M
есть какой нибудь актуальный и достойный аналог sqlmap?
Если для ББ то там как правило достаточно минимальный пруф показать, а для этого Sqlmap особо не требуется, это можно и руками доковырять.
ИМХО SqlMap нужен для автоматизации, когда ты посимвольно дергаешь имена столбцов или значения вытаскиваешь так же посимвольно через time-based. Вот тогда да, тем же Intruder'ом это делать долго, а SQLMap тут поможет
ИМХО SqlMap нужен для автоматизации, когда ты посимвольно дергаешь имена столбцов или значения вытаскиваешь так же посимвольно через time-based. Вот тогда да, тем же Intruder'ом это делать долго, а SQLMap тут поможет
P
помоему эти темперы только на ctf ах работают ))
MM
Если для ББ то там как правило достаточно минимальный пруф показать, а для этого Sqlmap особо не требуется, это можно и руками доковырять.
ИМХО SqlMap нужен для автоматизации, когда ты посимвольно дергаешь имена столбцов или значения вытаскиваешь так же посимвольно через time-based. Вот тогда да, тем же Intruder'ом это делать долго, а SQLMap тут поможет
ИМХО SqlMap нужен для автоматизации, когда ты посимвольно дергаешь имена столбцов или значения вытаскиваешь так же посимвольно через time-based. Вот тогда да, тем же Intruder'ом это делать долго, а SQLMap тут поможет
https://github.com/httpnotonly/violent-python/blob/master/blind-sqli-get.py
Может кому пригодится посимвольный перебор
Может кому пригодится посимвольный перебор
BF
помоему эти темперы только на ctf ах работают ))
Ктф это вообще другой мир
BF
Туда опытные хекеры приходят и всех ебут, оттуда ньюфаги уходят, думают, что они теперь опытные хекеры, и у них ничего не получается
P
т.е. в КТФ не стоит играть по твоему?
P
осторожно с ответом а то бечеда позову
BF
т.е. в КТФ не стоит играть по твоему?
Да)
DR
Имхо, в КТФ главный плюс что КТФеры умеют быстро проверять любые гипотезы, где-то подкодить, где-то тулзу правильно заюзать, где-то понять когда дальше копать в эту сторону уже нет смысла. Оч полезный скил при любом пентесте или бб)
R
Туда опытные хекеры приходят и всех ебут, оттуда ньюфаги уходят, думают, что они теперь опытные хекеры, и у них ничего не получается
так как раз бывает, когда с ББ начинают. В итоге получаются поверхностные-недохакеры )